Programm abschotten

[Cayton]

Hallo!

Ich bastel schon ein paar jährchen mit Linux und hab mir jetzt einen Rootserver gemietet, da ich so meinen kleinen Minecraft Server günstiger betreiben kann.

Und da kommt auch schon das Problem: (Verwende Debian Squeeze 6.0.7)
Der Server ist zwar mMn ganz gut gegen Angriffe geschützt, Logs werden täglich gelesen, unnötige Dienste sind deaktiviert usw.
Allerdings ist die Serversoftware für Minecraft in Java geschrieben, und da habe ich ernsthaft Sicherheitsbedenken. Deshalb möchte ich diese Softwäre vom Rest des Systems ein wenig "abschotten". Sie läuft schon unter einem eigenen Benutzer, wie könnte ich weiter vorgehen?

Ansatz 1:
Dem Benutzer eine limitierte Shell zuweisen und den zugriff auf andere Shells unterbinden. Allerdings: Wie sieht es aus, wenn tatsächlich über die Anwendung eingedrungen wird? Landet der Angreifer dann auch in der Standartshell des Benutzers?

Ansatz 2:
Ein chroot-jail erstellen. Würde ich persönlich ungerne tun, da es ein größerer Aufwand ist. Alles muss aktuell gehalten werden und so.

Würde deshalb ganz gern den ersten Ansatz verfolgen. Ist das so möglich?

Lg
Cayton

[blutigerAnfänger]

Hi Cayton,

soweit ich mich erinnere macht man eigentlich beides, einen user anlegen der die "Shell" /bin/false bekommt und das jail unter dieser
Benutzerkennung starten. Zum Thema eindringen in den Server kommt es auf mehrere Faktoren an
Zum Beispiel:

1. Absicherung des Systems
2. Angriffsmöglichkeiten die eine Schwachstelle bietet
3. Skill & Ziel des Angreifers

Ein Eindringling wird in der Regel immer versuchen die User-ID 0 zu bekommen, d.h. er versucht den root Zugriff zu erlangen. Deshalb sollte man
nicht nur die Anwendung sondern den gesamten Server absichern bzw. härten. Beispielsweise lässt sich das hinzuladen von weiteren Kernel-Modulen
unterbinden usw. Suche einfach mal nach "grsecurity" oder "PaX".
Zum sogenannten Härten des Systems findest Du zu Debian eine Menge an Info's unter:
http://www.debian.org/doc/manuals/secur ... ex.de.html

Gruß
blutigerAnfänger

[Cae]

Ein Eindringling wird in der Regel immer versuchen die User-ID 0 zu bekommen, d.h. er versucht den root Zugriff zu erlangen.

Und wenn er das nicht schafft, wird die Maschine halt als DDoS-Zombie verwendet. Daher halte ich eine auf den User angepasste Firewall (iptables --uid) fuer wichtig, die hauptsaechlich beliebigen ausgehenden Traffic unterbindet und nur valide Antworten des Serverdienstes rauslaesst.

Gruss Cae

[Cayton]

Sagen wirs mal so: Ich verstehe im Moment noch nicht den Sinn der kompletten chroot umgebung. Ich meine, wenn der Angreifer in eine limited Shell kommt, wo z.B. chsh, sudo und su gesperrt sind... Was kann er dann noch effektiv anrichten.

@Cae: Das mit den iptables für einzelne User halte ich für eine sinnvolle Sache. Also einfach allen ausgehenden Traffic des Users blocken, ausser Port 25565, wo der Server läuft? Oder ist es auch möglich, den Port so an eine Anwendung zu binden, dass er auch nach abschießen der Serversoftware nicht zweckentfremdet werden kann?

[blutigerAnfänger]

Der Sinn liegt darin, dass das der potenzielle Eindringling im chroot nicht mehr an Superuser-Werkzeuge wie Shells etc. herankommt bzw. dies enorm erschwert wird. Ohne jail kann ein guter Angriff, trotz eingeschränkter Shell für den User, dazu benutzt werden eine voll funktionale Shell zu starten. Wenn eine Sicherheitslücke ausgenutzt wird kann ohne chroot "bequem" ein Start einer hübschen Shell vorgenommen werden, schließlich muss angenommen werden, dass der Angriff dazu führt das eingeschläuster Code zur Ausführung kommt.

Gruß
blutigerAnfänger